kubernetes - ImagePullSecrets GCR

Question

我在部署.yaml 文件中使用 ImagePullSecrets 配置 GCR 时遇到问题。由于权限原因，无法下载容器

Failed to pull image "us.gcr.io/optimal-jigsaw-185903/syncope-deb": rpc error: code = Unknown desc = Error response from daemon: denied: Permission denied for "latest" from request "/v2/optimal-jigsaw-185903/syncope-deb/manifests/latest".

我确信我做错了什么，但我遵循了本教程(以及其他类似的教程)，但仍然没有运气。

https://ryaneschinger.com/blog/using-google-container-registry-gcr-with-minikube/

pod 日志同样没用:

"syncope-deb" in pod "syncope-deployment-64479cdcf5-cng57" is waiting to start: trying and failing to pull image

我的部署如下所示:

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  # Unique key of the Deployment instance
  name: syncope-deployment
  namespace: default
spec:
  # 3 Pods should exist at all times.
  replicas: 1
  # Keep record of 2 revisions for rollback
  revisionHistoryLimit: 2
  template:
    metadata:
      labels:
        # Apply this label to pods and default
        # the Deployment label selector to this value
        app: syncope-deb
    spec:
      imagePullSecrets:
      - name: mykey
      containers:
      - name: syncope-deb
        # Run this image
        image: us.gcr.io/optimal-jigsaw-185903/syncope-deb
        ports:
        - containerPort: 9080

我的默认命名空间中有一个名为“mykey”的 key ，看起来像(编辑了安全数据):

{"https://gcr.io":{"username":"_json_key","password":"{\n  \"type\": \"service_account\",\n  \"project_id\": \"optimal-jigsaw-185903\",\n  \"private_key_id\": \"EDITED_TO_PROTECT_THE_INNOCENT\",\n  \"private_key\": \"-----BEGIN PRIVATE KEY-----\\EDITED_TO_PROTECT_THE_INNOCENT\\n-----END PRIVATE KEY-----\\n\",\n  \"client_email\": \"bobs-service@optimal-jigsaw-185903.iam.gserviceaccount.com\",\n  \"client_id\": \"109145305665697734423\",\n  \"auth_uri\": \"https://accounts.google.com/o/oauth2/auth\",\n  \"token_uri\": \"https://accounts.google.com/o/oauth2/token\",\n  \"auth_provider_x509_cert_url\": \"https://www.googleapis.com/oauth2/v1/certs\",\n  \"client_x509_cert_url\": \"https://www.googleapis.com/robot/v1/metadata/x509/bobs-service%40optimal-jigsaw-185903.iam.gserviceaccount.com\"\n}","email":"redfalconinc@gmail.com","auth":"EDITED_TO_PROTECT_THE_INNOCENT"}}

我什至为该用户加载了以下权限:

• 编辑器云容器
• 构建云容器
• 构建器编辑服务
• 帐户 Actor 服务
• 帐户管理存储
• 管理存储对象
• 管理存储对象创建者
• 存储对象查看器

任何帮助将不胜感激，因为我花了很多时间来解决看似非常简单的问题。

Answer 1

该问题很可能是由于您使用 dockerconfigjson 类型的 secret 并在其中包含有效的 dockercfg 引起的。 kubectl 命令在某个时刻发生了更改，导致了此问题。

您能否检查一下它标记为 dockercfg 或 dockerconfigjson 的内容，然后检查其 dockerconfigjson 是否有效。

您提供的 json 是 dockercfg (不是新格式)

参见https://github.com/kubernetes/kubernetes/issues/12626#issue-100691532有关格式的信息